Internetowy Rejestr
Internetowy Rejestr Adwokatów, Radców Prawnych i Kancelarii.

Regulamin zarządzania ryzykiem

Inspiracja: Dokumentacja wewnętrzna w jednostkach sektora finansów publicznych

Regulamin zarządzania ryzykiem opisuje przyjęty model zarządzania ryzykiem w jednostce sektora finansów publicznych, skupiając się na ciągłym procesie, usprawnieniu planowania, zwiększeniu prawdopodobieństwa realizacji celów, zapewnieniu kontroli zarządczej oraz identyfikacji, ocenie, akceptowaniu i reakcji na ryzyko.

 

                                                                                        Załącznik

                                Regulamin zarządzania ryzykiem

                                              §1

                                       Założenia ogólne

1. Regulamin zarządzania ryzykiem opisuje przyjęty dla ………………………………………

                                                     (nazwa jednostki sektora finansów publicznych)

model zarządzania ryzykiem.

2. Zarządzanie ryzykiem jest procesem ciągłym, stanowiącym jeden z elementów kontroli
zarządczej w jednostce.

                                              §2

                            Ogólne zasady zarządzania ryzykiem

1. Celem zarządzania ryzykiem jest:

1) usprawnienie procesu planowania,

2) zwiększenie prawdopodobieństwa realizacji zadań i osiągania celów,

3) zapewnienie odpowiednich mechanizmów kontroli zarządczej,

4) zapewnienie kierownictwu otrzymywania na czas wczesnej informacji na temat zagrożeń
dla realizacji celów i zadań.

2. Zarządzanie ryzykiem wewnętrznym odbywa się w szczególności według zasad:

1) spójności z przepisami prawa oraz wytycznymi w zakresie standardów kontroli zarządczej
w jednostkach sektora finansów publicznych,

2) powiązania z celami i zadaniami jednostki,

3) przypisania odpowiedzialności,

4) proporcjonalności działań przeciwdziałających ryzyku do jego istotności.

                                              §3

                           Elementy systemu zarządzania ryzykiem

Zarządzania ryzykiem obejmuje:

1) identyfikację ryzyka,



1
2) ocenę ryzyka, mającą na celu określenie możliwych skutków, prawdopodobieństwa
i istotności wystąpienia danego ryzyka,

3) określenie akceptowanego poziomu ryzyka,

4) określenie reakcji na ryzyko i wskazanie działań w celu zmniejszenia danego ryzyka do
akceptowanego poziomu ze wskazaniem właścicieli ryzyk,

5) zapewnienie mechanizmów kontroli ryzyka,

6) wdrożenie środków zapobiegawczych i korygujących oraz monitorowanie i raportowanie.

                                               §4

                                     Identyfikacja ryzyka

1. Identyfikacja ryzyka polega na określeniu ryzyka, które zagraża poszczególnym celom
i zadaniom, uwzględnionym w rocznym planie pracy. Przy identyfikacji zagrożeń uwzględnia
się też realizowane przez jednostkę programy oraz projekty.

2. Identyfikując ryzyko, analizuje się wyniki wcześniej przeprowadzonych kontroli lub
audytów oraz przypadki nieprawidłowości i niepowodzeń w osiąganiu celów jednostki
w przeszłości.

3. Podczas identyfikacji należy przeanalizować:

1) cele i zadania jednostki;

2) obszary działalności jednostki;

3) zagrożenia związane z osiąganiem celów i realizowaniem zadań, w szczególności
wynikające z następujących czynników:

a) struktury organizacyjnej jednostki,

b) sytuacji finansowej jednostki, w tym: liczby, rodzaju i wielkości dokonywanych operacji
finansowych,

c) liczby pracowników oraz ich kwalifikacji,

d) przestrzegania przez pracowników zasad etyki,

e) warunków pracy w jednostce,

f) wpływów/nacisków zewnętrznych na pracowników jednostki (zwłaszcza o charakterze
korupcyjnym lub innym kryminogennym),



2
g) możliwości zaistnienia zmian (np. zakresu rzeczowego lub terytorialnego działania
jednostki,   struktury organizacyjnej,    sposobu   działania,   fluktuacji   kadr,   systemów
informatycznych).

                                              §5

                                         Ocena ryzyka

1. Ocena ryzyka odbywa się na podstawie przyjętego modelu oceny zapewniającego
porównywalność wyników we wszystkich obszarach funkcjonowania jednostki oraz
ułatwiającego przetwarzanie indywidualnych ocen w celu stworzenia ogólnego profilu
ryzyka.

2. Ocena ryzyka polega na określeniu prawdopodobieństwa wystąpienia ryzyka i skutku,
a następnie ustaleniu jego istotności.

3. Ocena zarówno prawdopodobieństwa, jak i potencjalnych skutków wystąpienia ryzyka
polega na nadaniu im wartości szacunkowych w przyjętych skalach jakościowo-ilościowych.

4. W ocenie ryzyka uwzględnia się częstotliwość zaistnienia ryzyka (liczbę możliwych
powtórzeń) jako jeden ze wskaźników prawdopodobieństwa wystąpienia ryzyka.

5. Na podstawie oszacowanego prawdopodobieństwa oraz skutków wystąpienia ryzyka
określa się współczynnik istotności każdego zidentyfikowanego ryzyka.

6. Określenie istotności ryzyka umożliwia uporządkowanie ryzyk według kryterium ich
znaczenia dla realizacji celów i zadań jednostki.

7. Pogrupowanie ryzyk według kryterium ich istotności przedstawia rzeczywiste zagrożenia
dla realizacji celów i zadań jednostki oraz wskazuje kierownikowi jednostki kierunki
priorytetowe w podejmowaniu odpowiednich działań.

8. Dla poszczególnych zidentyfikowanych i oszacowanych ryzyk wskazuje się rozwiązania,
które mają na celu ograniczenie prawdopodobieństwa lub skutków ich wystąpienia.

9. Kierownik jednostki wyznacza akceptowany poziom ryzyka, uwzględniając ocenę
istotności ryzyka.

10. Określenie poziomu istotności ryzyka może wynikać m.in. z konieczności zaakceptowania
ryzyka w obszarze, w którym długofalowe korzyści przewyższają krótkoterminowe straty,
z uwzględnieniem aktualnej sytuacji jednostki oraz wysokości kosztów ograniczenia danego
ryzyka.



3
                                             §6

                         Prawdopodobieństwo wystąpienia ryzyka

1. Oceniając prawdopodobieństwo wystąpienia ryzyka, uwzględnia się możliwą
częstotliwość wystąpienia zdarzenia (jak często dane zdarzenie może mieć miejsce).
W odniesieniu    do   czynności    powtarzalnych   (spraw   występujących   cyklicznie   lub
wielokrotnie) uwzględnia się liczbę możliwych powtórzeń (ile razy względem ogólnej liczby
spraw zdarzenie może mieć miejsce).

2. Jakościowa ocena prawdopodobieństwa wystąpienia ryzyka opiera się na oszacowaniu
stopnia prawdopodobieństwa zaistnienia ryzyka, przez wybór przez oceniającego jednej
z trzech możliwości (skal):

1) prawdopodobieństwo wysokie – gdy jest więcej niż 60% szans, że ryzyko wystąpi
wielokrotnie w ciągu roku; ryzyko z prawdopodobieństwem wysokim przyjmuje wartość – 3;

2) prawdopodobieństwo średnie – gdy jest więcej niż 10%, ale mniej niż 60% szans, że
ryzyko wystąpi kilkakrotnie w ciągu roku; ryzyko z prawdopodobieństwem średnim
przyjmuje wartość – 2;

3) prawdopodobieństwo niskie – gdy jest mniej niż 10% szans, że ryzyko wystąpi raz w ciągu
roku lub nie zdarzy się w ciągu roku; ryzyko z prawdopodobieństwem niskim przyjmuje
wartość – 1.

                                             §7

                                  Skutki wystąpienia ryzyka

1. Ocena skutków wystąpienia ryzyka opiera się na oszacowaniu potencjalnych skutków,
a więc wyników oddziaływania, jakie zaistnienie danego rodzaju ryzyka może mieć
na jednostkę sektora finansów publicznych i realizację jej celów oraz zadań (jakość
rezultatów/znaczenia/wpływów). Uwzględnia się przy tym w szczególności konsekwencje
prawne, finansowe i organizacyjne zaistnienia danego zdarzenia oraz jego wpływ
na wizerunek jednostki sektora finansów publicznych i bezpieczeństwo pracowników.

2. Ocena jakościowa skutków zaistnienia ryzyka dokonywana jest przez wybór jednej z trzech
możliwości (skal):

1) wysokie skutki – poważny wpływ na realizację zadania (poważne zagrożenie terminu jego
realizacji) i osiągnięcie celu; poważne konsekwencje prawne; zagrożenie bezpieczeństwa



4
pracowników; poważne straty finansowe; poważny wpływ na wizerunek jednostki sektora
finansów publicznych; ryzyko ze skutkiem wysokim przyjmuje wartość – 3;

2) średnie skutki – średni wpływ na realizację zadania (zagrożenie terminu jego realizacji)
i osiągnięcie celu; umiarkowane konsekwencje prawne; średni skutek finansowy; brak
wpływu na bezpieczeństwo pracowników; średni wpływ na wizerunek jednostki sektora
finansów publicznych; ryzyko ze skutkiem średnim przyjmuje wartość – 2;

3) małe skutki – mały wpływ na realizację zadania i osiągnięcie celu; brak skutków
prawnych; mały skutek finansowy; brak wpływu na bezpieczeństwo pracowników; niewielki
wpływ na wizerunek jednostki sektora finansów publicznych; ryzyko ze skutkiem niskim
przyjmuje wartość – 1.

                                                §8

                                     Istotność ryzyka

1.   Istotność   ryzyka     wyrażona     jest        jako   iloczyn   (wyrażonych   punktowo)
prawdopodobieństwa wystąpienia ryzyka oraz potencjalnych skutków jego wystąpienia.
Określenie istotności ryzyka pozwala na dokonanie oceny i hierarchizacji ryzyka,
tj. uporządkowanie zidentyfikowanych i oszacowanych rodzajów ryzyka ze względu na ich
znaczenie (od najpoważniejszych do najmniej poważnych rodzajów ryzyka), w zależności od
stopnia, w jakim dane ryzyko zagraża realizacji zadań i celów jednostki sektora finansów
publicznych.

2. Z uwagi na trzystopniową skalę zarówno prawdopodobieństwa, jak i skutków wystąpienia
ryzyka, istotność danego rodzaju ryzyka może przyjąć wartości liczbowe od 1 do 9.

3. Dla oceny istotności ryzyka stosuje się skalę obejmującą następujące poziomy:

1) istotność ryzyka wysoka – istotnie wpływa na kluczową działalność jednostki sektora
finansów publicznych; uniemożliwia realizację zadań i celów; rodzi straty finansowe;
wymaga podjęcia natychmiastowych działań naprawczych; ryzyko przyjmuje wartość 6–9
(ryzyko o wysokim wpływie oraz wysokim lub średnim prawdopodobieństwie; ryzyko
o średnim wpływie i wysokim prawdopodobieństwie);

2) istotność ryzyka średnia – potencjalnie wpływa na kluczową działalność jednostki sektora
finansów publicznych; jest zagrożeniem dla realizacji zadań i celów; zagraża powstaniem
strat finansowych; wymaga ustawicznego monitorowania i sprawdzania oraz rozważenia
podjęcia stosownych działań; ryzyko przyjmuje wartość 3–4 (ryzyko o wysokim wpływie


5
oraz niskim prawdopodobieństwie; ryzyko o średnim wpływie oraz o średnim lub niskim
prawdopodobieństwie; ryzyko o niskim wpływie i wysokim prawdopodobieństwie);

3) istotność ryzyka niska – nie ma wpływu na kluczową działalność jednostki sektora
finansów publicznych; nie uniemożliwia realizacji zadań i osiągania celów; wymaga
monitorowania i w miarę potrzeby sprawdzania; ryzyko przyjmuje wartość 1–2 (ryzyko
o niskim wpływie oraz średnim lub niskim prawdopodobieństwie).

4. Matrycę punktowej oceny istotności ryzyka, zawierającą prezentację ryzyka w macierzy „3
× 3”, przedstawia poniższy rysunek:



    Skutek




                          III.                II.                 I.
WYSOKI (3)
                           (3)                (6)                 (9)




    ŚREDNI (2)            VI.                 V.                 IV.

                           (2)                (4)                 (6)




                          IX.
                                           VIII.(2)              VII.
    NISKI (1)              (1)
                                                                  (3)




                                      PRAWDOPODOBIEŃSTWO




6
                                                  §9

                                Akceptowany poziom ryzyka

1. Ryzykiem akceptowalnym jest ryzyko o niskim poziomie istotności.

2. Ryzyko o średnim i wysokim poziomie istotności przekracza akceptowalny poziom ryzyka
i wymaga ustalenia i podjęcia działań ograniczających to ryzyko przez zmniejszenie jego
skutku lub prawdopodobieństwa wystąpienia ryzyka.

3. W stosunku do każdego rodzaju ryzyka, którego poziom istotności mieści się
w akceptowanym dla Urzędu poziomie ryzyka, można również wskazać odpowiednie
działania służące wdrożeniu określonego rodzaju reakcji na ryzyko.

                                              § 10

                Rodzaj reakcji na ryzyko i wyznaczenie właściciela ryzyka

1. Metodami przeciwdziałania ryzyku są:

1) kontrolowanie i ograniczanie ryzyka (K) – działanie w celu zmniejszenia ryzyka.
Przykładem tej formy jest stosowanie mechanizmów kontroli zarządczej lub też
wprowadzenie dodatkowych procedur kontrolnych w danym procesie;

2) przeniesienie ryzyka (P) – przekazanie ryzyka podmiotowi zewnętrznemu. Najczęściej
przybiera formę ubezpieczenia lub zatrudnienia innego podmiotu do dokonywania
określonych działań i przejęcia ryzyka za wynagrodzeniem;

3) zakończenie działań obarczonych ryzykiem wewnętrznym (Z) – polega na wycofaniu
się z danego rodzaju działalności;

4) tolerowanie ryzyka (T) – świadome podjęcie ryzyka, brak dodatkowych działań,
najczęściej wynika z ograniczenia możliwości podjęcia określonych działań albo zbyt
wysokich kosztów ewentualnych działań w stosunku do potencjalnych korzyści. Forma ta
może być uzupełniona przez plany awaryjne.

2. Podstawowym rodzajem reakcji na ryzyko w jednostce sektora finansów publicznych jest
kontrolowanie i ograniczanie ryzyka (K).

3.   W celu   przeanalizowania       określenia    metody   przeciwdziałania   ryzyku   należy
przeanalizować:

1) przyczyny (źródła) ryzyka i możliwe scenariusze rozwoju wydarzeń;



7
2) istniejące mechanizmy kontrolne stosowane w celu ograniczenia lub uniknięcia tego
ryzyka;

3) skuteczność istniejących mechanizmów kontroli, tj. zakres, w jakim przeciwdziałają
ryzyku, a poprzez to ułatwiają lub utrudniają realizację ustalonych celów i zadań.

                                             § 11

                                     Odpowiedzialność

1. Zapewnienie funkcjonowania systemu zarządzania ryzykiem należy do zadań kierownika
jednostki.

2. Kierownik jednostki, w celu realizacji zadań związanych z zarządzaniem ryzykiem,
powołuje Pełnomocnika ds. zarządzania ryzkiem odrębnym zarządzeniem, w którym określa
rolę i zadania, a także szczegółowy tryb jego pracy.

3. W odniesieniu do każdego ryzyka ustalany jest właściciel ryzyka.

4. Wszyscy pracownicy jednostki zobowiązani są do aktywnego udziału w zarządzaniu
ryzykiem, w szczególności przez:

1) stosowanie się do obowiązujących w jednostce regulacji w zakresie zarządzania ryzykiem;

2) bieżące identyfikowanie ryzyka i informowanie o nim przełożonych;

3) podejmowanie działań w celu zminimalizowania skutków ryzyka lub prawdopodobieństwa
jego wystąpienia.

5. Rola audytu wewnętrznego w procesie zarządzania ryzykiem obejmuje:

1) dokonywanie oceny adekwatności, skuteczności i efektywności systemu zarządzania
ryzykiem w obszarach objętych zadaniami zapewniającymi;

2) świadczenie usług o charakterze doradczym z zachowaniem zasady niezależności
i obiektywizmu;

3) wspieranie kierownika jednostki w usprawnianiu procesu zarządzania ryzykiem.

                                             § 12

                                       Rejestr ryzyka

1. Zbiorcza informacja na temat ryzyk przedstawiana jest w formie rejestru ryzyka,
sporządzonego według wzoru określonego w załączniku Nr 1 do niniejszego dokumentu.




8
2. Rejestr ryzyka podlega zatwierdzeniu przez kierownika jednostki.

3. Kierownik jednostki, zatwierdzając rejestr ryzyka, podejmuje decyzję o:

1) rodzaju reakcji na ryzyko w stosunku do każdego ryzyka;

2) rodzaju działań zapobiegawczych lub korygujących mających przeciwdziałać wystąpieniu
danego ryzyka;

3) częstotliwości raportowania, w zależności od poziomu istotności ryzyka.

4. Zatwierdzony przez kierownika jednostki rejestr ryzyka jest jawny dla wszystkich
pracowników jednostki.

                                            § 13

                                   Terminy i tryb pracy

1. Identyfikacja, analiza i ocena ryzyka oraz ustalenie metod przeciwdziałania ryzyku
dokonywane są raz w roku, podczas przygotowania propozycji do rocznego planu działania
jednostki na rok następny.

2. Wstępnej identyfikacji, analizy i oceny ryzyka oraz ustalenia metod przeciwdziałania
ryzyku dokonują kierujący komórkami organizacyjnymi jednostki.

3. Wyniki oceny, o której mowa w § 13 ust. 2, przedkładane są Pełnomocnikowi ds.
zarządzania ryzykiem w terminie i formie przez niego określonej.

4. Pełnomocnik ds. zarządzania ryzykiem przedkłada ostateczną propozycję Kierownikowi
jednostki celem akceptacji.

5. Kierujący komórkami organizacyjnymi, w przypadku istotnych zmian warunków
funkcjonowania podległych im komórek, zobowiązani są do dokonywania w ciągu roku
aktualizacji zidentyfikowanych ryzyk oraz informowania o tym Pełnomocnika ds. zarządzania
ryzykiem.

                                            § 14

                              Monitorowanie i raportowanie

1. Monitorowanie ryzyka jest procesem ciągłym, realizowanym na każdym szczeblu
zarządzania,   pozwalającym     na podejmowanie     decyzji   przez   kierownika   jednostki
w odpowiednim czasie.

2. W ramach monitoringu dokonywany jest przegląd aktualności ryzyk, adekwatności ich


9
oceny, podjętych działań oraz skuteczności mechanizmów kontroli i identyfikacja nowych
ryzyk.

3. Zidentyfikowane ryzyko oraz ustalone metody jego ograniczania są na bieżąco oceniane
przez:

1) kierujących komórkami organizacyjnymi, którzy oceniają poziom zidentyfikowanego
ryzyka oraz skuteczność stosowanych metod jego ograniczania;

2) kierownictwo urzędu – w ramach bieżącego zarządzania jednostką sektora finansów
publicznych,   w tym      w szczególności   w trakcie   narad   z kierującymi   komórkami
organizacyjnymi.

4. Kierujący komórkami organizacyjnymi do 31 stycznia każdego roku przekazują do
Pełnomocnika       ds.   zarządzania   ryzykiem   informację    dotyczącą   oceny   ryzyk
zidentyfikowanych w roku poprzednim, zawierającą w szczególności ocenę skuteczności
zaproponowanych (przyjętych) metod przeciwdziałania ryzyku oraz wpływu tych metod
na poziom istotności ryzyka.

5. Na podstawie uzyskanych informacji, o których mowa w § 14 ust. 2, Pełnomocnik ds.
zarządzania ryzykiem sporządza sprawozdanie wraz z oceną (wnioskami), które przedkłada
kierownikowi jednostki sektora finansów publicznych do akceptacji.




10


 

Regulamin zarządzania ryzykiem wymaga aktywnego udziału wszystkich pracowników w procesie zarządzania ryzykiem, z odpowiedzialnością kierownika jednostki za funkcjonowanie systemu. Monitorowanie ryzyka jest kluczowe, a rejestr ryzyka jawny dla pracowników. Proces zarządzania ryzykiem oparty jest na identyfikacji, analizie, ocenie, reakcjach na ryzyko i raportowaniu.